# OPNsense Setup: Hardware-Wahl, Virtualisierung & Installation

TL;DR / Management Summary OPNsense ist eine leistungsstarke, FreeBSD-basierte Open-Source-Firewall. Für Senior Admins ist sie die erste Wahl für kleine und mittlere Unternehmen (KMU) sowie Lab-Umgebungen auf Proxmox. Der Erfolg einer OPNsense-Instanz hängt von zwei Faktoren ab: Intel-basierte Netzwerkkarten (für stabilen Durchsatz) und die korrekte Partitionierung. Ob auf Bare-Metal (für maximale Performance) oder als VM (für Flexibilität) – OPNsense bietet Enterprise-Features wie IDS/IPS und VPN ohne Lizenzkosten.

# 1. Einführung & Architektur

Die Firewall als Hardened-BSD.

OPNsense ist ein Fork von pfSense, legt aber mehr Wert auf moderne UI und Security-Features (wie Plugins).

Kernel: FreeBSD (bekannt für exzellente Netzwerk-Performance).
Routing-Engine: pf (Packet Filter).
UI: Bootstrap-basiert, reaktionsschnell und API-fähig.

# 2. Hardware-Anforderungen

Warum Realtek keine gute Idee ist.

# Die CPU-Frage

AES-NI: Zwingend erforderlich für VPN-Verschlüsselung (OpenVPN/IPsec). Moderne Intel Core oder AMD Ryzen sind ideal.
Kerne: 2 Kerne für einfache Setups, 4+ Kerne für IDS/IPS (Suricata).

# Die Netzwerk-Karten (NICs)

Empfehlung: Intel i210 / i225 / X520. Diese Treiber sind in FreeBSD am stabilsten.
Vermeidung: Realtek-Karten verursachen unter hoher Last oft “Watchdog Timeouts”.

# 3. Installation auf Proxmox (Virtualisiert)

Die ideale Test- und Prod-Umgebung.

# Proxmox Konfiguration

CPU Type: host (für AES-NI Passthrough).
Network: Nutzt VirtIO.
Interfaces: Mindestens zwei Bridges (z.B. vmbr0 für WAN, vmbr1 für LAN).

# Schritt-für-Schritt Installation

ISO booten.
Login als installer (Passwort: opnsense).
Dateisystem: ZFS wählen (bietet Datenintegrität und einfache Snapshots).
Partitionierung: GPT (UEFI) empfohlen.

# 4. Deep Dive: WAN & LAN Zuweisung

Die erste Hürde.

Nach dem ersten Boot fragt OPNsense nach der Interface-Zuweisung.

WAN: Das Interface zum Internet (Modem/Router).
LAN: Das Interface zum internen Switch (Default IP: 192.168.1.1).

# Beispiel Zuweisung (Konsole)
vtnet0 -> WAN
vtnet1 -> LAN

# 5. Troubleshooting & “War Stories”

Wenn das Gateway schweigt.

# Top 3 Fehlerbilder

Symptom: Kein Web-GUI Zugriff nach der Installation.
- Ursache: Der PC des Admins hat keine IP im Bereich 192.168.1.x.
- Lösung: Statische IP am Admin-PC setzen oder DHCP-Pool in der OPNsense Konsole prüfen.
Symptom: Massive Latenz in der VM (Proxmox).
- Ursache: “Hardware Checksum Offloading” ist in einer virtuellen Umgebung aktiv.
- Lösung: In OPNsense unter Interfaces -> Settings alle “Hardware Offloading” Haken deaktivieren (da VirtIO dies nicht unterstützt).
Symptom: OPNsense erkennt die Netzwerkkarte nicht.
- Lösung: Prüfen, ob die Karte vom FreeBSD-HCL unterstützt wird. Oft hilft ein Kernel-Modul-Load via /boot/loader.conf.local.

# “War Story”: Der “Double-NAT” Frust

Ein Admin installierte OPNsense hinter einer FritzBox. Er wunderte sich, warum sein VPN nicht funktionierte. Analyse: Die FritzBox machte bereits NAT, OPNsense machte NAT. Die IPsec-Pakete kamen am WAN-Port der OPNsense nie an. Lösung: FritzBox in den “Exposed Host” Modus stellen oder (besser) ein reines DSL-Modem (z.B. DrayTek Vigor) nutzen. Lehre: Eine Firewall braucht eine öffentliche IP am WAN-Port, um ihr volles Potenzial zu entfalten.

# 6. Monitoring & Alerting

Den Host überwachen.

# Hardware-Health

Überwachen Sie via Dashboard:

Thermal Sensors: Wird der lüfterlose Mini-PC zu heiß?
Disk SMART: Status der mSATA/NVMe SSD.

# 7. Fazit & Empfehlung

OPNsense ist das Schweizer Taschenmesser für Netzwerk-Security.

Empfehlung: Nutzen Sie für kleine Firmen lüfterlose Mini-PCs (z.B. Protectli oder PCEngines).
Strategie: Installieren Sie OPNsense immer auf ZFS, um nach Fehlkonfigurationen via Boot-Snapshot (BE) schnell zurückrollen zu können.

# Anhang: Cheatsheet

Aufgabe	Detail
Default User	`root`
Default PW	`opnsense`
Web-URL	`https://192.168.1.1`
Konsole Reset	Option 4
Shell starten	Option 8